FREAK : la sécurité d’Android et iOS menacée

FREAK : la sécurité d’Android et iOS menacée

Apple et Google ont annoncé qu’une mise à jour importante allait viser à atténuer un bug de sécurité majeur découvert récemment sous Android, iOS et OS X.

Cette faille de sécurité qui porte le nom de code CVE-2015-0204 a été dénommée FREAK, pour Factoring Attack on RSA Export Key. Elle est exploitable par un cybercriminel lorsq’un internaute consulte un site qui utilise une méthode de chiffrement dépassée, via une connexion HTTPS avec un appareil vulnérable – un téléphone Android, un iPhone ou un Mac sous OS X.

Une mise à jour devrait être déployée prochainement sur iOS, tandis que celle destinée à Android se trouve déjà entre les mains des fabricants et opérateurs mobiles.

Le souci, c’est que parmi 14 millions de sites employant le protocole SSL ou TLS sondés par les spécialistes en sécurité, 36% d’entre eux seraient vulnérables à ce type d’attaque. Au moment d’écrire ces lignes, la majorité des utilisateurs Windows et Linux ne seraient pas affectés par cette faille.

Le Washington Post qui avait révélé l’affaire a indiqué que des sites comme Whitehouse.gov, NSA.gov et FBI.gov étaient vulnérables à ce type de cyberattaque. Depuis, seul le site de la NSA serait encore vulnérable à l’heure actuelle selon le blogue Recode.

Pour tirer profit de cette vulnérabilité partagée entre nombre d’internautes et de serveurs web, un cyberpirate n’aurait plus qu’à injecter un ou plusieurs paquets malveillants dans la connexion afin de provoquer les deux parties à employer une faible clé de chiffrement de 512 bits lors d’une séance sécurisée. Le pirate pourrait alors recueillir les données et en extirper la clé de chiffrement.

Une fois en possession de cette clé, le pirate peut simplement se rendre dans un endroit public muni de Wi-Fi afin d’usurper l’identité de l’utilisateur en se connectant au serveur en question, afin d’accéder aux données personnelles de sa victime.

Les faibles clés de chiffrement de 512 bits datent de la période du gouvernement américain, où l’administration Clinton imposait que de telles clés soient utilisées par tout matériel informatique ou logiciel exporté à l’extérieur de ses frontières.

A l’époque, les fabricants informatiques et éditeurs de logiciels avaient conçu leurs produits pour qu’ils puissent utiliser une clé de chiffrement forte lorsqu’ils sont employés à l’intérieur des États-Unis, et une clé de chiffrement faible lorsqu’ils sont connectés depuis l’étranger. Une fois que cette restriction a été abandonnée, beaucoup d’ingénieurs ont laissé tomber cette pratique.

Mais apparemment, le grand ménage n’a pas été fait, pour que l’on se retrouve aujourd’hui devant un problème d’une telle ampleur.

Une solution pour vous prémunir de Freak est d’utiliser Firefox comme navigateur par défaut sur votre PC ou votre téléphone Android car il n’est pas vulnérable à FREAK. Vous pouvez consulter le site Tracking the FREAK Attack pour obtenir le diagnostic de votre configuration, mais aussi la liste des sites vulnérables les plus populaires selon Alexa.

Les utilisateurs d’appareils iOS doivent toutefois se méfier non seulement de Safari, mais également de plusieurs applications qui utilisent le moteur web d’iOS (essentiellement Safari).

La solution la plus sûre pour vous prémunir des cybercriminels et protéger votre ordinateur, votre mobile ou votre tablette lors de vos connexions internet est d’utiliser un service VPN. Vous vous assurez ainsi qu’aucune personne mal intentionnée n’écoute et n’utilise les données que vous envoyez, même lors d’une connexion internet non protégée. Vous évitez que vos mots de passe bancaires, vos comptes e-mail ou vos profils de réseaux sociaux soient interceptés et exploités à votre insu.

Notre service Le VPN code votre connexion internet par un cryptage complexe grâce à l’algorithme AES-256. Ce codage rend impossible toute interaction avec vos données personnelles, et cela, même lorsque votre connexion a été compromise ou interceptée. Chaque information que vous envoyez ira directement dans votre tunnel virtuel sécurisé. Avec Le VPN vous pouvez facilement diriger votre trafic en choisissant un serveur dans l’un des 100+ sites disponibles. Ainsi, vous vous assurez  les services du meilleur VPN disponible pour une connexion Internet sécurisée, depuis votre ordinateur, tablette ou téléphone portable.

spring-season-100x95

LES SOLDES DE PRINTEMPS

-78% SUR UNE OFFRE DE 3 ANS !

PAS DE JOURNAL

100+ LOCALISATIONS

P2P autorisé

Facile à utiliser

Garantie de 30 Jours

Assistance amicale

Bitcoin accepté

Vitesse de l'éclair

Laisser une répone